PT-2024-8416 · Linux+5 · Linux Kernel+5

Nicolas Dufresne

·

Publicado

2024-03-26

·

Atualizado

2025-02-03

·

CVE-2024-35921

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada ao decodificador HEVC sem estado no kernel do Linux, que armazena o ponteiro de instância no contexto, independentemente de a inicialização ter sido bem-sucedida ou não. Isso causa um problema de uso após liberação (use-after-free) quando o ponteiro é liberado em caso de falha na função de desinicialização. O problema é resolvido armazenando-se o ponteiro de instância apenas quando a inicialização é bem-sucedida.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use After Free

Improper Initialization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416CWE-665

Identificadores relacionados

BDU:2024-09975
CVE-2024-35921
SUSE-SU-2024:2135-1
SUSE-SU-2024:2203-1
SUSE-SU-2024:2973-1
SUSE-SU-2025:20008-1
SUSE-SU-2025:20028-1
USN-6893-1
USN-6893-2
USN-6893-3
USN-6918-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu